Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Защита от атак: выбор фаервола и антивируса для сисадмина

Автор: Svyazist
Дата сообщения: 26.10.2002 16:50
Помогите, люди добрые, начинающему сисадмину!

Нужен хороший firewall и хороший антивирусник для 2000 server! заранее очень благодарен!
Автор: djelektronik
Дата сообщения: 26.10.2002 18:51
че значит хороший?

че конкретно должен делать фаервол
(немного туповат умя вопрос но ниче ..)
антивирус имхо авп .. серверную версию
Автор: TROL
Дата сообщения: 19.10.2003 18:07
А VisNetic Firewall не подойдет? на мой взгляд хороший фаервул. Работает по принципу "то что что не разрешено то запрещено".
Автор: mymuss
Дата сообщения: 19.10.2003 18:25
Svyazist
Kerio Personal Firewall или (более серьезный продукт) Kerio WinRoute Firewall
http://www.kerio.com/products.html
Автор: TROL
Дата сообщения: 19.10.2003 18:54
mymuss

Я так понял что человеку нужен фаервул для сетки а не на частный комп. Из всех я бы все таки остановился на виснетике. он обсуждается вот здесь:
http://forum.ru-board.com/topic.cgi?forum=5&topic=8649&start=20

SecurityLab

Цитата:
Deerfield VisNetic Firewall 2.07
Visnetic Firewall - эволюция файрволла легенды -Conseal PC Firewall. Представляет собой эффективное и легко внедряемое средство защиты корпоративных сетей и отдельных рабочих станций. Он обеспечивает уровень безопасности, сопоставимый со значительно более дорогими решениями и может больше чем просто фильтровать трафик - компонент программы Stateful Inspection проверяет поступающие пакеты на соответствие реальным запросам, что важно при отражении DoS атак.

Платформы: Windows ALL

http://www.securitylab.ru/tools/?ID=40013&R=0.ML.Soft
Автор: mymuss
Дата сообщения: 19.10.2003 19:21
TROL
Winroute Firewall 5 вполне неплохо подходит для корпоративной сетки. ВизНетик я не пробовал, но к продуктам Deerfield отношусь крайне положительно
НО:
во-первых, Kerio дешевле (просто интересно, хоть кто-то в наших краях его купил )
во-вторых, к нему прикручивается McAfee (можно прямо вместе купить)
Автор: TROL
Дата сообщения: 19.10.2003 20:37
mymuss

Цитата:
во-вторых, к нему прикручивается McAfee (можно прямо вместе купить)

Не понял! Это что? Преимущество?
Начнем с того что макафи я ставил вместе с виснетиком. Ни каких проблем не наблюдал.
И второе. Я вообще не понимаю зачем ставить 2 фаервула. Если ты говоришь об антивирусе то тем более нет никаких проблем ставь любой! В макафи нет и половины того что может виснетик. например гибкая настройка правил (рулесов) может позволить тебе так настроить фаервул что пробить его будет очень проблематично. Например бан IP по одному порту один чего стоит. А если добавить еще и систему обнаружения атаки.....
Автор: mymuss
Дата сообщения: 19.10.2003 20:51
TROL

Цитата:
Это что? Преимущество

Да.


Цитата:
макафи я ставил вместе с виснетиком

Ты хочешь сказать, что у тебя макафи фильтровал входящий HTTP/FTP траффик на предмет наличия там вирусов? Может, конечно, визнетик так и умеет, я не берусь утверждать. Но, по крайней мере, на официальном сайте подобная фича не упомянута (http://www.deerfield.com/products/visnetic-firewall/features/)


Цитата:
Я вообще не понимаю зачем ставить 2 фаервула

Где в моих словах ты видишь что-то про 2 файрвола?
Автор: TROL
Дата сообщения: 19.10.2003 21:05
mymuss
Извени. Я действительно не понял. Но поповоду антивируса. То я вообще не вижу проблемы. И почему именно макафи? ставь любой! И ты где нибудь вообще видел чтобы Фаервул мешал антивирусу? Я нет. И еще: фильтрутся не трафик а сканируется уже принятый файл. пока файл не загрузился к тебе на комп ты ничего про него не узнаешь.
Автор: mymuss
Дата сообщения: 19.10.2003 21:11
TROL

Цитата:
И почему именно макафи? ставь любой!


Цитата:
И еще: фильтрутся не трафик а уже принятый файл. пока файл не загрузился к тебе на комп ты ничего про него не узнаешь.

Да, согласен. Но что если в сетке юзер тянет, скажем, по НАТу зараженный файл. В связке Firewall+Antivirus он отфильтруется и не будет отдан юзеру.
С Керио можно поставить (так чтобы интегрировать) несколько разных антивирусов, в т.ч. Symantec.
Автор: TROL
Дата сообщения: 19.10.2003 21:31
mymuss
Я не совсем с тобой согласен. Начнем с того что монитор антивируса сам занимается отслеживанием заражонных файлов. И еще..... если ты хочешь например сделать так что бы заражонный файл не попал к юзеру то это уже вопрос не фаервула с антивирусом а вопрос администрирования и кофигурации сети. т.е. файл попадает сначало на головной комп там проверяется и затем отдается юзеру. в 2 этапа.
Автор: mymuss
Дата сообщения: 19.10.2003 23:37
TROL

Цитата:
файл попадает сначало на головной комп там проверяется и затем отдается юзеру. в 2 этапа

Ну дык я ж тоже про это и говорю. Просто в связке, которую предлагает Kerio все это автоматизировано, т.е. тебе не надо настраивать отдельно антивирус, отдельно файрвол и прикручивать одно к другому. Все интегрировано.
Автор: TROL
Дата сообщения: 20.10.2003 00:53
mymuss
Ничего не понимаю! Причем здесь фаервул к антивирусу? Зачем один прикручивать к другому? Что то похожее на интеграцию ежа с ужом получается моток колючей проволоки. Программы разные и у них разная задача. И никогда не требовалось одно прикручивать к другому. Тут скорее менеджер закачки можно прикрутить к антивирусу а не фаервул. Хотя чудеса всякие бывают швейную машинку "Зингер" можно к пилораме прикрутить было бы желание. Фаервул это посути резатель трафика и не больше! О какой автоматизации ты говоришь? И вот еще вопрос. Керио сколько модемов может отслеживать ? У керио есть наглядный лог моноторинг пакетов из которого можно многновенно сделать рулес в случае обнаружения нежелательной конекции или подозрения на такую? Я пользовался керио там таким и не пахнет. У меня стоит сервер.... И сколько бы я ни настраивал керио все равно оставалась серьезная уязвимость. После установки и изучения виснетика все проблемы отпали сами собой. его и настраивать то особо не надо
Цитата:
Работает по принципу "то что что не разрешено то запрещено".

Автор: vworld
Дата сообщения: 20.10.2003 06:49
TROL
Согласен на все 100 с твоим умозаключением
У меня работает WinRoute 4.2.5. - как фильтр пакетов - я доволен
поставил еще Outpost - только вот до сих пор не могу понять - зачем я это сделал?
стоит он себе в разрешенном режиме - банеры режет и рекламу - а и пусть стоит - денег не просит за работу
А вообще на мой взгляд фаирволчик должен быть нечто типа ISA Server (это я про винду, т.к. в линухе полный 0), но у него есть минус - клиентская часть, хотя это может быть и плюсом
ИМХО для фаира надо линукс учить
Автор: TROL
Дата сообщения: 20.10.2003 14:21
vworld

Цитата:
ИМХО для фаира надо линукс учить

Опять не понял! Зачем? если ты считаешь что в линухе фаер лучше то уверяю тебя ты ошибаешься. Возможно ты не поверишь но линух после того как ты его установил и не успел настроить не менее дырявый и масдайный чем виндовс. любая OS нуждается в патчах различных системах защиты и прочем и прочем..... к тому же фаер отнюдь не панацея. при определенной квалификации фаейр можно обойти причом любой. Здесь вопрос стоит об оптимальном фаере для локалки. я предложил виснетик как на мой взгляд самый удобный. хотя сколько людей столько мнений. но все таки попробовать его стоит.
Автор: Borgia
Дата сообщения: 20.10.2003 21:22
Au народ вы дату поста смотрели? но если уж чисто пофлеимить то очень много зависит от сетки ее размеров, требовании и насколько критична информация которая крутится внутри. От этого надо исходить. А вы просто рассуждаете о своиствах того или иного не привязывая к чемуто конкретно взяв даже на обум виртуальную сеть. Имхо для 5-7 компов просто связаных между собой(с некритичной инфор.) может хватить и фаерволла в хр толково настроенного. Не в обиду.
и если уж флеимить по полной но имхо со смыслом. то нужно брать кокретную виртуальную сеть с конкретными задачами и тереотически попробовать обсудить различные варианты.ее защиты.
Автор: Duke Shadow
Дата сообщения: 21.10.2003 15:02
Borgia

Цитата:
Au народ вы дату поста смотрели?

Поддерживаю, только с одной проблемой: новые темы создавать нельзя , а ответа на вопрос фаерволл для _сервера_ я не нашёл, видимо TROL и mymuss тоже, вот здесь и развели.
Подскажи, плз, что на сервер поставить, а то говорят Outpost - это клиентский, а так хотелось... Сеть чуть меньше 100 компов, домен, MS SQL.
Автор: Paltry
Дата сообщения: 21.10.2003 19:38

Цитата:
Поддерживаю, только с одной проблемой: новые темы создавать нельзя , а ответа на вопрос фаерволл для _сервера_ я не нашёл, видимо TROL и mymuss тоже, вот здесь и развели.
Подскажи, плз, что на сервер поставить, а то говорят Outpost - это клиентский, а так хотелось... Сеть чуть меньше 100 компов, домен, MS SQL.


Для майкросовтовских серверов существует майкросовтовский же фаервол (плюс прокся в одном флаконе) называется Microsoft Internet Security and Acceleration Server, он ставиться только на сервера.
Автор: Borgia
Дата сообщения: 21.10.2003 22:33
Duke Shadow



Цитата:
а ответа на вопрос фаерволл для _сервера_ я не нашёл,


ты вначале определись какие задачи перед тобой и твоей сеткой стоят. Что намечается на будущее. Что от кого и почему ты собираешся защищать и какую информацию. И какая информация для тебя критична.
По твоему вопросу можно понять что ты собираешся защищать сервер. Что за сервер какие его задачи в сети и что на нем стоит и тд. . Очень мало ты даеш информации. о твое конфигурации сети.( Сетка скажем так не фирмочка из десятка компов) Поими поставить фаерволл это треть дела.
Важно продумать построение сети ведь очень многое можно и нужно сделать по защите и внутри сети встроенными средствами. Так что ты определись и напиши здесь а народ будет давать предложения и советы. А так у тебя вопрос народ я тут тачку приобрел какие калеса посоветуете.
Автор: Krechet
Дата сообщения: 22.10.2003 08:25

Цитата:
Microsoft Internet Security and Acceleration Server

Мне эта штука тоже нравится. Плюс ко всему сделали ее мелкософтники, совместно с TFilter и SurfControl считает и режет трафик по дням, неделям и месяцам. Плюс удобный интерфейс в Консоли управлению.
Если надо что-то особенно защитить - ставь цепочку из 2-3 серверов ISA, правильно настраивай и после этого украсть данные сможет только очень крутой профессионал.
ИМХО ISA - штука очень неплохая(один минус - сложна на первых порах)
Автор: mullerwest
Дата сообщения: 22.10.2003 09:20

Цитата:
но у него есть минус - клиентская часть, хотя это может быть и плюсом

Смотря в каком режиме ты его будешь использовать, в SecureNAT никаких клиентских частей на машину-клиент устанавливать не нужно.
Автор: vworld
Дата сообщения: 22.10.2003 13:59
mullerwest

Цитата:
в SecureNAT никаких клиентских частей на машину-клиент устанавливать не нужно.

В данном варианте вроде бы не будет учета траффика по пользователям....
А мне это важно например!
Автор: TROL
Дата сообщения: 22.10.2003 17:46
Krechet

Цитата:
ИМХО ISA - штука очень неплохая

Ну хорошо. Убедил. А вот если стоит не ISA предположим а другой сервер. Напрмер Апаче? Я не пользовался ни разу Microsoft Internet Security and Acceleration Server он подойдет в этом случае? Условия таковы сеть 20 компов задача защитить сервер имеющий выход в инет. Используется NAT. MySQL. На сайте стоит интернет магазин. Т.е. через инет осуществляются финансовые операции. Если информация не достаточна то что еще необходимо сказать?

Добавлено
И к тому же меня немного смущает сложность настройки.
Автор: Borgia
Дата сообщения: 22.10.2003 22:39
TROL

Вопервых ISA сервер нужно ставить отдельно от апачи и это должна быть твоя стена которая принимает на себя первый удар.
Во вторых не лучше ли будет разделить немного функции . сделать DMZ и в иса сервере опубликовать твой апаче имхо намного безопаснее.
Автор: TROL
Дата сообщения: 23.10.2003 12:56
Borgia

Цитата:
сделать DMZ

Честно говоря я до сих пор не понимаю что такое сделать DMZ если я ставлю сервер на комп в сети подключонный по середине между 2 компами на которых установлены фаервулы с задаными строгими правилами то это и будет DMZ ? если да то тогда в чем его преимущество? почему сервер установленный на тот же комп с одним фаервулом считается менее защищонным? И я не совсем понял

Цитата:
и в иса сервере опубликовать твой апаче

Это как? Если можно то немного подробнее. Повторяю иса я ни разу не пользовался. Заранее спасибо.
Автор: Borgia
Дата сообщения: 23.10.2003 13:20
TROL
DMZ - каменный мешок для хакера
http://kv.by/index2002370801.htm


Автор: Duke Shadow
Дата сообщения: 23.10.2003 13:46
Borgia

Цитата:
ты вначале определись какие задачи перед тобой и твоей сеткой стоят.

Задачи клиентов давно определены: Office, программеры работают с MS SQL, остальное локально на компах. Есть отдельный сервер 1С, но до него меня пока не пускают.

Цитата:
Что от кого и почему ты собираешся защищать

Сервер, от своих же, на всякий случай. Контингент разный, да и за всеми не уследишь, испоганят на серваке что-нибудь, а мне потом разбирайся, а не дай Бог ещё и файлы руководства попрут и сдадут кому-нибудь.

Цитата:
Что за сервер какие его задачи в сети и что на нем стоит

Котроллер домена + MS SQL + файлы пользователей, для админов - Terminal Server в Administration Mode - сервер head-less. В будущем думаю поднять MS SMS 2003.

Цитата:
Очень мало ты даеш информации. о твое конфигурации сети.

Можешь считать что обычная локалка - свитч, от него хабы по этажам, далее напрямую к компу. В свитч же воткнут сервер.

Цитата:
Важно продумать построение сети ведь очень многое можно и нужно сделать по защите и внутри сети встроенными средствами.

Всё уже сделано, политики, профили все заведено, настроено. Backup работает. Windows 2000 Common Criteria Guide зачитан до дыр. Остался фаерволл, причем желательно, чтобы он умел раздавать разрешения по приложениям, как Outpost, но на крайняк можно и по портам - разберёмся как-нибудь.
Если ещё вопросы остались - пиши...

Paltry

Цитата:
майкросовтовский же фаервол (плюс прокся в одном флаконе)

Нах мне прокся? Да ещё и клиентов ставить тоже не веселит.
Автор: Borgia
Дата сообщения: 23.10.2003 23:09
Если честно я так и не понял зачем тебе на сервере фаервол.
1 если на сервере папки пользователей создай разрешния с помощью .NTFS опция секьюрити. Кому куда можно и что можно. включи Аудит поставь аудит на фаилы начальства . в конце концов есть шифрование. Вообще имхо не самая лучшая идея на
Котроллере домена фаилы пользователей. но если нет выбора то нет . Но имхо тебе фаерволл совсем не нужен на Котроллере домена . Все что ты сказал делается с NTFS пермишен.
Цитата:
Остался фаерволл, причем желательно, чтобы он умел раздавать разрешения по приложениям, как Outpost
С какими приложениями работают пользователи на Котроллере домена? И какие порты ты собираешся закрывать.?


Добавлено
TROL
http://www.isaserver.org/ если с английским не туго посмотри здесь там все описано.Очень много статей по исе . если нужна литература обратись через PM.

Добавлено
TROL
http://www.isaserver.org/ если с английским не туго посмотри здесь там все описано.Очень много статей по исе . если нужна литература обратись через PM.
Автор: Milienko
Дата сообщения: 24.10.2003 09:01
Что касаеться антивируса то советую Касперский сервер, могу залить !!! На счет фаервола сказать ни чего не могу, так как сколько людей столько мнений У меня порты айтигуардом перекрыты!!!
Автор: Duke Shadow
Дата сообщения: 24.10.2003 11:30
Borgia

Цитата:
Но имхо тебе фаерволл совсем не нужен на Котроллере домена . Все что ты сказал делается с NTFS пермишен.

Ага, а трояны, вирусы и иже с ними. А ещё ограничение доступа к портам терминального сервера только с машин админов, а к MS SQL только с тех машин, которым он нужен. Ведь поломают сервер, так трояна подвесят на свободный порт как пить дать, да ещё и логи подчистят. Да и вообще система безопасности без фаервола какая-то хромая получается.

Цитата:
С какими приложениями работают пользователи на Котроллере домена?

Я ж говорил уже: MS SQL + NetBIOS(т.е. файлы складывают), дополнительно админам - Terminal Services.
А прошу я фаерволл прикладного уровня исключительно с одной целью - MS SQL Server (а возможно и ещё кто-нибудь) умеет открывать себе дополнительные порты, кроме родного. Так чтобы не мучаться - прописать, что MS SQL имеет право ломиться в сеть на определенные IP-адреса и не нужно отыскивать порты, по которым он это делает, чтобы правильно правила прописать.

Страницы: 12

Предыдущая тема: Ошибка в Event Viewer (EventID) и др. системные ошибки Win


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.